Trusted Extensions での大域ゾーンの設定

大域ゾーンを設定する前に、構成を決定してください。決定事項については、「Trusted Extensions の有効化前の情報収集と決定事項」を参照してください。

ラベルエンコーディングファイルを検査およびインストールする

エンコーディングファイルは、通信する相手の Trusted Extensions ホストと互換性がなければなりません。

Trusted Extensions はデフォルトの label_encodings ファイルをインストールします。このデフォルトファイルは、デモンストレーションとして便利です。ただし、実際の使用に適しているとは限りません。デフォルトファイルを使用する場合、この手順は省略できます。

• エンコーディングファイルに慣れている場合、次に示す手順を使用します。

• エンコーディングファイルに慣れていない場合、要件、手順、および例について『Solaris Trusted Extensions ラベルの管理』を参照してください。

続行する前に、ラベルを正しくインストールしてください。正しくインストールしていないと構成できません。

始める前に

セキュリティー管理者です。セキュリティー管理者は、label_encodings ファイルの編集、検査、および保守を担当します。label_encodings ファイルを編集する場合、ファイルが書き込み可能であることを確認してください。詳細は、label_encodings(4) のマニュアルページを参照してください。

1. label_encodings ファイルが含まれたメディアを適切なデバイスに挿入します。

2. label_encodings ファイルをディスクにコピーします。

3. ファイルの構文を検査し、それをアクティブな label_encodings ファイルにします。

   • Trusted JDS では、コマンド行からファイルの検査とインストールを行います。

     1. 端末ウィンドウを開きます。

     2. chk_encodings コマンドを実行します。

        # /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file

     3. 出力を読み、次のいずれかを行います。

        • エラーを解決します。

          コマンドによってエラーが報告された場合、続行する前に、そのエラーを解決しなければなりません。参考として、『Solaris Trusted Extensions ラベルの管理』の第 3 章「ラベルエンコーディングファイルの作成 (手順)」を参照してください。

        • そのファイルをアクティブな label_encodings ファイルにします。

          # cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.site label_encodings

     ---

     注意 –

     続行するには、label_encodings ファイルが chk_encodings テストに合格しなければなりません。

     ---

   • Trusted CDE では、「エンコーディングの検査」アクションを使用します。

     1. Trusted_Extensions フォルダを開きます。

        背景をマウスボタン 3 でクリックします。

     2. ワークスペースメニューで、「アプリケーション」->「アプリケーション・マネージャ」を選択します。

     3. Trusted_Extensions フォルダのアイコンをダブルクリックします。

        

     4. 「エンコーディングの検査」アクションをダブルクリックします。

        ダイアログボックスで、ファイルのフルパス名を入力します

        /full-pathname-of-label-encodings-file

        chk_encodings コマンドを起動して、ファイルの構文を検査します。「エンコーディングの検査」ダイアログボックスに結果が表示されます。

     5. 「エンコーディングの検査」ダイアログボックスの内容を読み、次のいずれかを行います。

        • エラーを解決します。

          「エンコーディングの検査」アクションによってエラーが報告された場合、続行する前に、そのエラーを解決しなければなりません。参考として、『Solaris Trusted Extensions ラベルの管理』の第 3 章「ラベルエンコーディングファイルの作成 (手順)」を参照してください。

        • 「はい」をクリックすることで、そのファイルをアクティブな label_encodings ファイルにします。

          「エンコーディングの検査」アクションによって元のファイルのバックアップコピーが作成され、検査済みのバージョンが /etc/security/tsol/label_encodings にインストールされます。さらに、ラベルデーモンが再起動されます。

   ---

   注意 –

   続行するには、label_encodings ファイルがエンコーディングの検査テストに合格しなければなりません。

   ---

4. ファイルの構文を検査し、それをアクティブな label_encodings ファイルにします。

   コマンド行を使用します。

   1. 端末ウィンドウを開きます。

   2. chk_encodings コマンドを実行します。

      # /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file

   3. 出力を読み、次のいずれかを行います。

      • エラーを解決します。

        コマンドによってエラーが報告された場合、続行する前に、そのエラーを解決しなければなりません。参考として、『Solaris Trusted Extensions ラベルの管理』の第 3 章「ラベルエンコーディングファイルの作成 (手順)」を参照してください。

      • そのファイルをアクティブな label_encodings ファイルにします。

        # cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.site label_encodings

   ---

   注意 –

   続行するには、label_encodings ファイルがエンコーディングの検査テストに合格しなければなりません。

   ---

例 4–1 コマンド行での label_encodings 構文の検査

この例では、管理者がコマンド行を使用していくつかの label_encodings ファイルをテストします。

# /usr/sbin/chk_encodings /var/encodings/label_encodings1
No errors found in /var/encodings/label_encodings1
# /usr/sbin/chk_encodings /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

業務管理で label_encodings2 ファイルを使用することを決めたら、管理者はファイルの意味解析を実行します。

# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

---> CLASSIFICATIONS <---

   Classification 1: PUBLIC
   Initial Compartment bits: 10
   Initial Markings bits: NONE

---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <---
...
---> SENSITIVITY LABEL to COLOR MAPPING <---
...

管理者は自分の記録用に意味解析のコピーを出力したのち、このファイルを /etc/security/tsol ディレクトリに移動します。

# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.06
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.10.10.06 label_encodings

最後に、管理者は label_encodings ファイルが会社ファイルであることを確認します。

# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4
No errors found in /etc/security/tsol/label_encodings

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2006

Trusted Extensions で IPv6 ネットワーキングを有効にする

CIPSO オプションは、パケットの IPv6 Option Type フィールドで使用すべき IANA (Internet Assigned Numbers Authority) 番号を持ちません。この手順で設定するエントリは、このオプションの番号を IANA が割り当てるまでローカルネットワークで使用する番号を提供します。この番号が定義されていないと、Trusted Extensions は IPv6 ネットワークを無効にします。

Trusted Extensions で IPv6 ネットワークを有効にするには、/etc/system ファイルにエントリを追加してください。

1. /etc/system ファイルに次のエントリを入力します。

   set ip:ip6opt_ls = 0x0a

注意事項

• 起動中に IPv6 の構成が正しくないことを示すエラーメッセージが表示されたら、エントリを修正します。

  • エントリのスペルが正しいことを確認します。

  • /etc/system ファイルに正しいエントリを追加したあとにシステムが再起動されたことを確認します。

• すでに IPv6 が有効になっている Solaris システムに Trusted Extensions をインストールして、/etc/system に IP エントリを追加できなかった場合、次のエラーメッセージが表示されます。 t_optmgmt: System error: Cannot assign requested address time-stamp

• IPv6 が有効ではない Solaris システムに Trusted Extensions をインストールして、/etc/system に IP エントリを追加できなかった場合、次のようなエラーメッセージが表示されます。

  • WARNING: IPv6 not enabled via /etc/system

  • Failed to configure IPv6 interface(s): hme0

  • rpcbind: Unable to join IPv6 multicast group for rpc broadcast broadcast-number

解釈ドメインの構成

Trusted Extensions で構成されたシステムとの間の通信はすべて、ある単一の CIPSO 解釈ドメイン (DOI) のラベル付け規則に従う必要があります。各メッセージ内で使用される DOI は、CIPSO IP Option ヘッダーの整数値によって識別されます。デフォルトで、Trusted Extensions の DOI は 1 になっています。

使用する DOI が 1 でない場合、/etc/system ファイルにエントリを追加し、デフォルトのセキュリティーテンプレートの doi 値を変更する必要があります。

1. /etc/system ファイルに次の DOI エントリを入力します。

   set default_doi = n

   このゼロでない正数は、使用するノードおよびそのノードと通信するシステムの tnrhtp データベースに含まれている DOI 番号に一致する必要があります。

2. tnrhtp データベースを LDAP サーバーに追加する前に、デフォルトエントリとローカルアドレスに対するすべてのエントリの doi 値を変更します。

   Trusted Extensions の tnrhtp データベース内には、cipso と admin_low の 2 つのテンプレートが用意されています。ローカルアドレスのエントリを追加した場合には、それらのエントリも変更します。

   1. tnrhtp データベースをトラステッドエディタで開きます。

      # /usr/dt/bin/trusted_edit /etc/security/tsol/tnrhtp

      Solaris Trusted Extensions (CDE) では代わりに、アプリケーションマネージャーの Trusted_Extensions フォルダ内の「管理エディタ」アクションを使用します。

   2. cipso テンプレートエントリを別の行にコピーします。

      cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

   3. いずれかの cipso エントリをコメントにします。

      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

   4. コメントにされていない cipso エントリの doi 値を変更します。

      この値を、/etc/system ファイル内の default_doi の値と同じにします。

      #cipso:host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH cipso:host_type=cipso;doi=n;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH

   5. admin_low エントリの doi 値を変更します。

      #admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=1;def_label=ADMIN_LOW admin_low:host_type=unlabeled;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;doi=n;def_label=ADMIN_LOW

   tnrhtp データベース内のすべてのエントリのすべての doi 値が同じになったら作業は完了です。

注意事項

/etc/system ファイルで 1 以外の default_doi 値が設定されていて、かつこのシステムのセキュリティーテンプレートでその default_doi 値に一致しない値が設定されていた場合、インタフェースの構成時にシステムコンソール上に次のようなメッセージが表示されます。

• NOTICE: er10 failed: 10.17.1.12 has wrong DOI 4 instead of 1

• Failed to configure IPv4 interface(s): er10

インタフェースの構成に失敗した場合、次のようにログインが失敗する可能性があります。

• Hostname: unknown

• unknown console login: root

• Oct 10 10:10:20 unknown login: pam_unix_cred: cannot load hostname Error 0

この問題を修正するには、システムをシングルユーザーモードでブートし、この手順で説明した方法でセキュリティーテンプレートを修正します。

参照

DOI の詳細については、『Oracle Solaris Trusted Extensions 管理の手順』の「Trusted Extensions のネットワークセキュリティー属性」を参照してください。

作成するセキュリティーテンプレートの doi 値を変更するには、『Oracle Solaris Trusted Extensions 管理の手順』の「遠隔ホストテンプレートを構築する」を参照してください。

ユーザーが選択したエディタを信頼できるエディタとして使用するには、『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドエディタとして任意のエディタを割り当てる」を参照してください。

ゾーンのクローンを作成するために ZFS プールを作成する

Solaris ZFS スナップショットをゾーンテンプレートとして使用する場合、ZFS ファイルまたは ZFS デバイスから ZFS プールを作成する必要があります。このプールには、各ゾーンのクローンを作成するためのスナップショットが保持されます。ZFS プール用に /zone デバイスを使用します。

始める前に

Solaris のインストール時に、ZFS ファイルシステム用のディスク容量を確保しておきます。詳細は、「Trusted Extensions でのゾーン計画」を参照してください。

1. /zone パーティションをアンマウントします。

   インストール時に、十分なディスク容量 (約 2000M バイト) の /zone パーティションを作成してあります。

   # umount /zone

2. /zone マウントポイントを削除します。

   # rmdir /zone

3. vfstab ファイルの /zone エントリをコメントにします。

   1. /zone エントリを読み取られないようにします。

      エディタで vfstab ファイルを開きます。/zone エントリの前にコメント記号を付けます。

      #/dev/dsk/cntndnsn /dev/dsk/cntndnsn /zone ufs 2 yes -

   2. ディスクスライス cntndnsn をクリップボードにコピーします。

   3. ファイルを保存し、エディタを閉じます。

4. ディスクスライスを使用して /zone を ZFS プールとして再作成します。

   # zpool create -f zone cntndnsn

   たとえば、/zone エントリがディスクスライス c0t0d0s5 を使用した場合、コマンドは次のようになります。

   # zpool create -f zone c0t0d0s5

5. ZFS プールが正常であることを検証します。

   次のいずれかのコマンドを使用します。

   # zpool status -x zone pool 'zone' is healthy

   # zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT /zone 5.84G 80K 5.84G 7% ONLINE -

   この例では、初期設定チームはゾーンのパーティション用に 6000M バイトを用意しました。詳細は、zpool(1M) のマニュアルページを参照してください。

Trusted Extensions を再起動してログインする

ほとんどのサイトでは、初期設定チームの役割を果たす、2 人以上の管理者がシステムの構成を担当します。

始める前に

最初にログインする前に、Trusted Extensions のデスクトップおよびラベルのオプションを熟知しておいてください。詳細は、『Oracle Solaris Trusted Extensions ユーザーズガイド』の第 2 章「Trusted Extensions へのログイン (手順)」を参照してください。

1. システムを再起動します。

   # /usr/sbin/reboot

   システムにグラフィック表示用のディスプレイがない場合は、第 6 章Trusted Extensions とヘッドレスシステムの構成 (タスク) に進みます。

2. Solaris Trusted Extensions (CDE) または Solaris Trusted Extensions (JDS) デスクトップにスーパーユーザーとしてログインします。

   1. ログインウィンドウで、いずれかのトラステッドデスクトップを選択します。

      Trusted CDE デスクトップには、システムの構成時に役立つアクションが含まれています。Solaris 10 10/08 リリースから、txzonemgr スクリプトがシステムを構成するために優先されるプログラムになりました。

   2. ログインダイアログボックスで、root および root パスワードを入力します。

      ユーザーはパスワードをほかの人に知られないようにしてください。その人がユーザーのデータにアクセスすると、アクセスした人を特定できず、責任を追求できなくなります。パスワードがほかの人に知られるのは、ユーザーが故意に教えてしまうような直接的な場合と、書き留めておいたパスワードを見られたり、安全でないパスワードを設定したりするなど、間接的な場合があります。Trusted Extensions ソフトウェアでは、安全でないパスワードが設定されないようにできますが、ユーザーがパスワードを教えたり、書き留めたりするのを防止することはできません。

3. 「最後のログイン」ダイアログボックス内の情報を読みます。

   

   「了解」をクリックしてボックスを閉じます。

4. ラベルビルダーを読みます。

   「了解」をクリックしてデフォルトのラベルを受け入れます。

   ログインプロセスが完了すると、Trusted Extensions 画面が短く表示され、4 つのワークスペースを持つデスクトップセッションになります。トラステッドストライプに Trusted Path のシンボルが表示されます。

   ---

   注 –

   システムの前から離れるときは、ログオフするかまたは画面をロックしてください。これを怠ると、だれかが識別や認証を受けずにシステムにアクセスできてしまい、アクセスした人を特定できず、責任を追求できなくなります。

   ---

Trusted Extensions で Solaris 管理コンソールサーバーを初期化する

この手順で、ユーザー、役割、ホスト、ゾーン、およびネットワークをこのシステム上で管理できるようになります。構成する最初のシステムでは、files スコープのみが使用可能です。

始める前に

スーパーユーザーでなければなりません。

クライアントで動作する Solaris 管理コンソールから LDAP サーバー上の LDAP ツールボックスを使用するには、「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」のすべての作業を完了してください。

1. Solaris 管理コンソールを起動します。

   # /usr/sbin/smc &

   ---

   注 –

   Solaris 管理コンソールをはじめて起動するときには、登録タスクを実行します。このタスクには数分かかります。

   ---

   図 4–1 Solaris 管理コンソール 初期ウィンドウ

   
   

2. Solaris 管理コンソールでツールボックスのアイコンが表示されない場合、次のいずれかを実行します。

   • ナビゲーション区画が表示されない場合

     1. 表示されている「ツールボックスを開く」ダイアログボックスで、「サーバー」の下にあるシステムの名前の横の「読み込む」をクリックします。

        システムにメモリーおよびスワップの推奨容量がない場合、ツールボックスが表示されるまで数分かかる場合があります。推奨値については、「Trusted Extensions 用 Solaris OS のインストールまたはアップグレード」を参照してください。

     2. ツールボックスのリストから、Policy=TSOL であるツールボックスを選択します。

        図 4–2 は、このコンピュータ (this-host: Scope=Files, Policy=TSOL) ツールボックスを示しています。Trusted Extensions で、「システムの構成」ノードにあるツールを変更します。

        ---

        注意 –

        ポリシーがないツールボックスは選択しないでください。リストされているポリシーがないツールボックスは、Trusted Extensions をサポートしません。

        ---

        影響を与えるスコープに応じて、ツールボックスの選択が決まります。

        • ローカルファイルを編集するには、ファイルスコープを選択します。

        • LDAP データベースを編集するには、LDAP スコープを選択します。

          「LDAP のための Solaris 管理コンソールの設定 (作業マップ)」のすべての作業を完了すると、LDAP スコープが使用可能になります。

     3. 「開く」をクリックします。

   • ナビゲーション区画は表示されるが、ツールボックスのアイコンが停止標識である場合

     1. Solaris 管理コンソールを終了します。

     2. Solaris 管理コンソールを再起動します。

        # /usr/sbin/smc &

3. Policy=TSOL のツールボックスをまだ選択していない場合は、それを選択します。

   次の図は、このコンピュータ (this-host: Scope=Files, Policy=TSOL) ツールボックスを示しています。Trusted Extensions で、「システムの構成」ノードにあるツールを変更します。

   図 4–2 Solaris 管理コンソールの Trusted Extensions ツール

   
   

4. (省略可能) 現在のツールボックスを保存します。

   Policy=TSOL ツールボックスを保存すると、デフォルトで Trusted Extensions ツールボックスが読み込まれます。設定は役割ごと、ホストごとに保存されます。ホストは Solaris 管理コンソールサーバーです。

   1. 「コンソール」メニューから「設定の変更」を選択します。

      「ホーム」ツールボックスが選択されています。

   2. Policy=TSOL ツールボックスを「ホーム」ツールボックスとして定義します。

      「現在のツールボックスを使用」ボタンをクリックすることによって、現在のツールボックスを「場所」フィールドに入力します。

   3. 「了解」をクリックして設定を保存します。

5. Solaris 管理コンソールを終了します。

参照

Solaris 管理コンソールに対する Trusted Extensions の追加事項の概要については、『Oracle Solaris Trusted Extensions 管理の手順』の「Solaris 管理コンソールツール」を参照してください。Solaris 管理コンソールを使用してセキュリティーテンプレートを作成するには、『Oracle Solaris Trusted Extensions 管理の手順』の「トラステッドネットワークデータベースの構成 (作業マップ)」を参照してください。

Trusted Extensions で大域ゾーンを LDAP クライアントにする

LDAP では、この手順で大域ゾーンにネームサービス設定を構築します。LDAP を使用していない場合、この手順は省略できます。

Solaris 10 5/08 リリース以降、Solaris Trusted Extensions (CDE) ワークスペースにいるユーザーは、txzonemgr スクリプトまたは Trusted CDE アクションを使って LDAP クライアントを作成できます。Solaris Trusted Extensions (JDS) または Solaris Trusted Extensions (GNOME) ワークスペースにいるユーザーは、txzonemgr スクリプトを使用する必要があります。

あるユーザーが各ラベル付きゾーン内でネームサーバーを設定することを計画している場合、各ラベル付きゾーンへの LDAP クライアント接続を確立する責任はそのユーザーにあります。

始める前に

Sun Java System Directory Server、つまり LDAP サーバーが存在しなければなりません。Trusted Extensions データベースのデータがサーバーに入力されていて、システムがサーバーと通信できなければなりません。そのため、構成しているシステムで、LDAP サーバー上の tnrhdb データベースへのエントリが必要です。あるいは、この手順を実行する前に、このシステムがワイルドカードエントリに含まれていなければなりません。

Trusted Extensions が設定された LDAP サーバーが存在しない場合、次に示す手順を実行する前に、第 5 章Trusted Extensions のための LDAP の構成 (手順) の手順を完了します。

1. DNS を使用している場合、nsswitch.ldap ファイルを変更します。

   1. 元の nsswitch.ldap ファイルのコピーを保存します。

      LDAP 用の標準的なネームサービスのスイッチファイルは限定的であるため、Trusted Extensions には使用できません。

      # cd /etc # cp nsswitch.ldap nsswitch.ldap.orig

   2. 次の各サービスの nsswitch.ldap ファイルエントリを変更します。

      正しいエントリは次のとおりです。

      hosts: files dns ldap ipnodes: files dns ldap networks: ldap files protocols: ldap files rpc: ldap files ethers: ldap files netmasks: ldap files bootparams: ldap files publickey: ldap files services: files

      Trusted Extensions によって、次の 2 つのエントリが追加されます。

      tnrhtp: files ldap tnrhdb: files ldap

   3. 変更した nsswitch.ldap ファイルを nsswitch.conf にコピーします。

      # cp nsswitch.ldap nsswitch.conf

2. 次の手順のいずれかを実行して LDAP クライアントを作成します。

   • txzonemgr スクリプトを実行し、LDAP に関するプロンプトに答えます。

     「Create LDAP Client」メニュー項目によって構成されるのは、大域ゾーンだけです。

     1. 「txzonemgr スクリプトを実行する」の手順に従います。

        このダイアログボックスのタイトルは「Labeled Zone Manager」です。

     2. 「Create LDAP Client」を選択します。

     3. 次の各プロンプトに答え、それぞれの回答のあとで「了解」をクリックします。

        Enter Domain Name: Type the domain name Enter Hostname of LDAP Server: Type the name of the server Enter IP Address of LDAP Server servername: Type the IP address Enter LDAP Proxy Password: Type the password to the server Confirm LDAP Proxy Password: Retype the password to the server Enter LDAP Profile Name: Type the profile name

     4. 表示された値を確定するか取り消します。

        Proceed to create LDAP Client?

        確定した場合、txzonemgr スクリプトによって LDAP クライアントが追加されます。その後、コマンド出力がウィンドウに表示されます。

   • Trusted CDE ワークスペースで、「LDAP クライアントを作成」アクションを検索して使用します。

     1. 背景でマウスボタン 3 をクリックして Trusted_Extensions フォルダに移動します。

     2. ワークスペースメニューで、「アプリケーション」->「アプリケーション・マネージャ」を選択します。

     3. Trusted_Extensions フォルダのアイコンをダブルクリックします。

        このフォルダには、インタフェース、LDAP クライアント、およびラベル付きゾーンを設定するためのアクションが含まれています。

     4. 「LDAP クライアントを作成」アクションをダブルクリックします。

        次のプロンプトに答えます。

        Domain Name: Type the domain name Hostname of LDAP Server: Type the name of the server IP Address of LDAP Server: Type the IP address LDAP Proxy Password: Type the password to the server Profile Name: Type the profile name

     5. 「了解 (OK)」をクリックします。

        次の完了メッセージが表示されます。

        global zone will be LDAP client of LDAP-server System successfully configured. *** Select Close or Exit from the window menu to close this window ***

     6. アクションウィンドウを閉じます。

3. 端末ウィンドウで、enableShadowUpdate パラメータに TRUE を設定します。

   # ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=domain,dc=suffix System successfully configured

   「LDAP クライアントを作成」アクションと txzonemgr スクリプトは ldapclient init コマンドのみを実行します。Trusted Extensions では、シャドウ更新を有効にするため、初期化された LDAP クライアントに変更を加える必要もあります。

4. サーバーに関する情報が正しいことを確認します。

   1. 端末ウィンドウを開き、LDAP サーバーを照会します。

      # ldapclient list

      出力表示は次のようになります。

      NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=domain-name ... NS_LDAP_BIND_TIME= number

   2. エラーを修正します。

      エラーが表示された場合は、もう一度 LDAP クライアントを作成し、正しい値を指定してください。たとえば、次のエラーが表示される場合、LDAP サーバーにシステムのエントリがない可能性があります。

      LDAP ERROR (91): Can't connect to the LDAP server. Failed to find defaultSearchBase for domain domain-name

      このエラーを修正するには、LDAP サーバーを確認する必要があります。

例 4–2 resolv.conf ファイルの読み込み後にホスト名を使用する

この例では、管理者が、ある特定の DNS サーバー群をシステムから使用可能にします。管理者は、トラステッドネットワーク上のサーバーから resolv.conf ファイルをコピーします。DNS はまだアクティブになっていないため、管理者はサーバーの IP アドレスを使ってサーバーを特定します。

# cd /etc
# cp /net/10.1.1.2/export/txsetup/resolv.conf resolv.conf

resolv.conf ファイルがコピーされ、nsswitch.conf ファイルの hosts エントリに dns が含められると、管理者はホスト名を使ってシステムを特定できるようになります。